Главная » Права инвалидов » С 1 июля г персональные данные. Штрафы за нарушение правил работы с персональными данными. Что нужно делать

С 1 июля г персональные данные. Штрафы за нарушение правил работы с персональными данными. Что нужно делать

С 1 июля 2017 года применяются новые штрафы за нарушение обработки и хранения персональных данных.

Все это влечет за собой пересмотр политики компаний и ИП в отношении защиты данных сотрудников. Давайте рассмотрим внимательно новые требования, что относится к персональным данным, как их хранить с 1 июля 2017 года.

Что относится к персональным данным с 1 июля 2017 года

Прежде чем начать разговор о новых штрафах за неправильную обработку и хранение персональных данных с 1 июля 2017 года, нужно сначала определить, что относится к этим персональным данным.

Персональные данные – это личная информация о сотруднике, имеющая отношения к его частной или рабочей жизни. К ним относятся:

  • паспортные данные;
  • адрес, прописка;
  • данные о семье;
  • справка о состоянии здоровья;
  • страховые документы;
  • военный билет;
  • дипломы об образовании;
  • сведения о трудовой биографии.

Важно! Нельзя брать у сотрудника данные, не относящиеся к его работе и не влияющие на его трудовые обязанности, зарплату, выплаты, пособия и т. Д. Имеются в виду: национальность, религиозная принадлежность, политические предпочтения и пр.

Новые штрафы за персональные данные с 1 июля 2017 года

Согласно ст.13.11 Федерального закона №13-ФЗ от 7 февраля 2017 года за нарушение обработки и использования персональных данных с 1 июля 2017 года налагаются новые штрафы, рассмотрим их поближе:

За какое нарушение по использованию, обработке и хранению персональных данных (далее ПД) положен штраф

Размер штрафа для «физиков» (в руб.)

Размер штрафа для ответственных лиц (в руб.)

Размер штрафа для ИП

(в руб.)

Размер штрафа для компаний

(в руб.)

Противоречащая закону обработка ПД или вы делаете это с целью, идущей в разрез с законодательством (то есть теперь передача данных сторонней компании для распространения рекламы карается очень строго)

30 000 – 50 000

Если вы обрабатываете ПД человека, не взяв предварительно с него согласие на это

Не проинформировали о своей политике по использованию и обработке ПД

Не проинформировали человека о том, как вы собираетесь обрабатывать его ПД или дали ему информации о его ПД

Пропустили срок, оговоренного субъектом, по уточнению, блокировке, либо уничтожению его ПД

Если вы не имеете автоматизированной системы по хранению и защите ПД, и это привело к опубликованию ПД, уничтожению, блокировке, копированию, изменению и пр. незаконным операциям

Внимание! За обработку персональных данных без согласия на то, самого человека, помимо штрафа предусмотрена также уголовная ответственность. Поэтому не забывайте брать с сотрудников заявление, в котором они дают свое разрешение на обработку данных, на предоставление этих данных банку, налоговой и иным заинтересованным организациям, оговаривают срок хранения информации и подтверждают, что ознакомлены с целью сбора данных.

Что изменить в обработке персональных данных с 1 июля 2017 года под новые требования

Для того чтобы вас с 1 июля 2017 года не оштрафовали за то, что вы обрабатываете, распространяете, изменяете и т.д. персональные данные ваших сотрудников, нужно взять с них письменное заявление, что они согласны на эти действия.

Утвержденного образца заявления пока нет, пишется оно в свободной форме. При этом ориентируясь на ч.4 ст.9 ФЗ №152-ФЗ от 27.07.2006, оно должно включать в себя следующие данные:

  • ФИО, адрес работника;
  • серию, номер паспорта, где и кем выдан;
  • перечень персональных данных и причина, по которой дается согласие;
  • манипуляции, которые работник разрешает производить со своими данными;
  • срок действия соглашения;
  • дата, подпись, расшифровка.

Образец заявления-соглашения на использование персональных данных

Хранение и обработка персональных данных, новые изменения с 01.07.2017г.

Федеральный закон от 01.07.2017 года №13-ФЗ ввел новые штрафы за нарушение обработки или уничтожения хранения личных данных сотрудников и клиентов, однако не сделал никаких новых изменений в этой части. Поэтому, чтобы избежать новых больших штрафов при обработке, хранении, изменении и уничтожении персональных данных, руководствуйтесь Законом №152-ФЗ от 27.07.2006 года.

Как хранить персональные данные с 1 июля 2017 года

Итак, что же нужно сделать компании и ИП, чтобы не нарушить закон и не подвергнуться большим штрафам, при пользовании персональными данными.

  1. Пусть за хранение, изменение, обработку, уничтожение персональных данных у вас отвечают, специально назначенные для этого, должностные лица. Это может быть кадровик, бухгалтер, руководитель подразделения, даже генеральный директор, если речь идет о маленьких организациях.
  2. Обязательно разработайте правила обработки, хранения, уничтожения персональных данных в согласии с Федеральным законом. Создайте специальный локальный акт, в котором пропишите все эти правила. Чаще всего компании используют «Положение о защите персональных данных работников» (ст.18.1 ФЗ от 27.07.2006 №153-ФЗ), но можно использовать свое.
  3. Ознакомьте с этим актом всех своих сотрудников, кроме того инструкция должна у вас всегда находится в зоне свободного доступа.
  4. Разработайте соглашение о согласии сотрудника на обработку, изменение, хранение, уничтожение его персональных данных (примерный образец такого соглашения можно скачать по ссылке выше). Проследите, чтобы все ваши сотрудники заполнили это соглашение.
  5. Проинформируйте сотрудников, если у них возникнут вопросы, как вы обрабатываете и используете их персональные данные (ст.14 ФЗ №153-ФЗ от 27.07.2006).
  6. Своевременно вносите изменения в персональные данные сотрудников, например при смене фамилии, имени, места жительства, состоянии здоровья и т.д.
  7. Организуйте грамотную систему хранения и защиты персональных данных. Как это сделать, вы должны определить самостоятельно, руководствуясь ст.19 Закона №153-ФЗ. Оградите персональные данные от несанкционированного или даже случайного доступа. Если личная информация о ваших сотрудниках даже случайно попадет в руки посторонних лиц, санкций компании не избежать.
  8. Своевременно уничтожайте персональные данные ваших сотрудников. Срок хранения документов определяется соглашением с вашими сотрудниками. Если вы не оговорили срок хранения с работником, то данные уничтожаются через 30 дней с момента их получения. Если нет такой возможности, блокируйте личную информацию.

Будьте внимательны! Организацию, обработку, хранение, изменение, удаление личных данных в компании проверяет Трудовая инспекция и сотрудники Роскомнадзора. Если они отметят нарушения, вас оштрафуют.

Не спешите закрывать статью. Вы наверняка мысленно задались вопросом — «А при чем здесь я?» — отвечаю, данный закон может коснуться и вас в том числе, а вы даже можете этого и не подозревать. Давайте по порядку.

Вступление

7 февраля 2017 года были внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Вступят в силу эти поправки уже скоро — 1 июля 2017 года.

Что такое персональные данные?

Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Что изменится 1 июля 2017 года?

Новый Федеральный закон от 07.02. 2017 № 13-ФЗ значительно расширил перечень оснований для привлечения лиц к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов.

Что интересно, выписывать протоколы о правонарушении в этой области будет не прокуратура, как раньше, а Роскомнадзор. А это значит, что дела пойдут гораздо быстрее и штрафы будут рассылаться пачками, если не упаковками.

Причем тут мы

Наверное большая часть моих читателей все еще не понимает, как все это относится к ним. Но грань тут очень тонкая, как понять, являетесь ли вы оператором персональных данных?

Если с помощью вашего блога, сайта, портала, интернет-магазина вы получаете какие-либо персональные данные от пользователя (какие именно, смотреть выше) — то вы автоматически попадаете под этот закон. Элементарно, на вашем сайте можно зарегистрироваться, вводя свое имя, эл.почту, адрес? Поздравляю, вы уже попали под закон.

Это вас касается если:

Ваш сайт позволяет производить регистрацию пользователей (даже с минимальным набором данных «имя + e-mail»). Примеры:

  • форумы;
  • социальные сети;
  • многие новостные сайты;
  • интернет-магазины;
  • блоги;
  • сайты с частными объявлениями;
  • и так далее.

Ваш сайт позволяет вносить в формы персональные данные пользователей , которые впоследствии публикуются на сайте или отправляются по e-mail. Например, если на сайте есть функция «перезвонить мне», возможность отправить быстрый заказ или подписаться на рассылку и тому подобное.

Ваш сайт просто уже содержит реальные персональные данные граждан.

Ваша компания (юридическое лицо или индивидуальный предприниматель) на постоянной основе занимаются обработкой персональных данных граждан. Это справедливо для:

Ваша компания активно работает с внештатными сотрудниками (по гражданско-правовому договору).

Ваша компания использует CRM или аналогичные системы .

Что делать?

Нужно уметь правильно работать с персональными данными.

Как минимум нужно:

  • получить письменное согласие с каждого пользователя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных пользователя;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников работать с персональными данными;

Исключения

Вас это не касается в следующих случаях, так как на них ФЗ «О персональных данных» не распространяется:

  1. Обработка персональных данных производится физическими лицами исключительно для личных и семейных нужд, но если при этом не нарушаются права субъектов персональных данных;
  2. Обработка персональных данных производится при работе с документами Архивного фонда Российской Федерации и аналогичных документов;
  3. Персональные данные, отнесены к сведениям, составляющим государственную тайну;
  4. Персональные данные относятся к публичной информации о деятельности судов в РФ.

К сожалению, я не юрист в этой области и я не смогу дать вам точных ответов что именно нужно сделать чтобы обезопасить себя на 100%. Что уж там, даже сами профи не могут дать однозначных ответов, так как существует очень много нюансов и неточностей, не говоря уже про то, что закон не вступил в силу. В любом случае, цель моего поста была именно предупредить Вас о том, что такая «хрень» существует. Ну а дальше, как говорится, предупрежден — значит вооружен 🙂

С 01.07.2017 г. действуют изменения в ст. 13.11 КоАП РФ об административной ответственности за нарушение законодательства о персональных данных физлиц. Поскольку поправки касаются всех, кто использует персональные данные, рассмотрим эти новшества в нашей статье.

Обработка персональных данных – 2017

Персональные данные – это любая информация, прямо или косвенно относящаяся к конкретному физлицу (имя, адрес проживания, дата рождения, паспортные данные, номер телефона, фото, адрес электронной почты, и т.д.). Организация, госорган или физлицо, собирающее и обрабатывающее персональные данные, именуется оператором (Закон о персональных данных от 27.07.2006 № 152-ФЗ). К таковым относятся работодатели, а также все, кто получает личные данные от граждан – медучреждения, учебные заведения, интернет-магазины и т.д.

Для работодателя такие данные необходимы в связи с трудовыми отношениями. Получить их можно только лично от самого работника, а от третьих лиц - с его письменного согласия. Физлицо дает письменное согласие на обработку персональных данных. Бланк законодательством не утвержден, составить его можно самостоятельно, с учетом требований п. 4 ст. 9 закона № 152-ФЗ(п. 3 ч. 1 ст. 86 ТК РФ, п. 1 ст. 9 закона 152-ФЗ).

Согласие на обработку персональных данных (образец)

Недопустимо собирать и обрабатывать персональные данные работника, не относящиеся к его трудовой деятельности, например, об участии в общественных объединениях, вероисповедании, личной жизни и т.п. Это же касается и прочих операторов, которые запрашивают данные, не имеющие отношения к цели их обработки (например, указание паспортных данных в анкете об оценке работы сайта). Полученные данные не должны раскрываться третьим лицам или распространяться без согласия физлица (ст. 7 закона № 152-ФЗ).

Оператор обязан обеспечить данным надлежащую защиту, для чего закрепляет порядок их получения, обработки и хранения в Положении о персональных данных или ином внутреннем нормативном акте. В документе определяются необходимые меры, а также назначается ответственный за обработку. Доступ к таким данным должен разрешаться только уполномоченным на то лицам, причем они вправе получать только сведения, необходимые для осуществления конкретных функций (ст. 88 ТК РФ, ст. 18.1 закона № 152-ФЗ).

Положение о персональных данных либо иной документ о политике их обработки, находятся в открытом доступе и предъявляются по запросам уполномоченных органов - это касается и работодателей, и прочих операторов (ч. 2 и 4 ст. 18.1 закона № 152-ФЗ).

Персональные данные – 2017: новое в административной ответственности

Законом от 07.02.2017 № 13-ФЗ была принята новая редакция статьи 13.11 КоАП РФ. Если ранее статья содержала один единственный состав – нарушение ФЗ о персональных данных, теперь это целый перечень из семи оснований административной ответственности и, соответственно, разные штрафы. Вероятно, что при обнаружении нескольких нарушений у одного оператора, ему грозит несколько штрафов, а не один.

Также претерпели изменения статьи 28.3 и 28.4 КоАП РФ, упростив процесс привлечения операторов к ответственности: с 01.07.2017 г. протоколы о нарушениях закона 152-ФЗ о персональных данных составляют сотрудники Роскомнадзора, а не прокурор, как раньше. Срок для привлечения к ответственности остался прежним – 3 месяца.

За что теперь штрафуют

Итак, вот по каким основаниям теперь могут привлекаться к административной ответственности предприниматели и организации, обрабатывающие персональные данные:

  • Данные обрабатываются в случаях, не предусмотренных ФЗ о персональных данных либо их обработка несовместима с целями сбора (ч. 1 ст. 13.11 КоАП РФ) . Незаконное использование личных данных, если оно не влечет уголовной ответственности, грозит предупреждением, или штрафом: физлицам в 1000-3000 руб., должностным лицам – 5000-10 000 руб., организациям – 30 000-50 000 руб.
  • Обработка данных без письменного согласия, необходимого по закону (п. 2 ст. 13.11 КоАП РФ). Согласие на обработку должно содержать информацию, указанную в ч. 4 ст. 9 закона 152-ФЗ о персональных данных. Изменения 2017 г. предусматривают с 1 июля штраф за его отсутствие в следующем размере: для нарушителей физлиц – 3000-5000 руб., для должностных лиц – 10 000-20 000 руб., для организаций – 15 000-75 000 руб.
  • Отсутствие неограниченного доступа к политике оператора в области обработки персональных данных (п. 3 ст. 13.11 КоАП РФ). Обязанность обеспечения доступа установлена п. 2 ст. 18.1 закона 152-ФЗ о персональных данных. Невозможность ознакомиться с таким документом на бумаге либо на сайте, если данные собираются через интернет, обойдется операторам: в 700-1500 руб. - физлицам, 3000-6000 руб. – должностным лицам, 5000-10 000 руб. – ИП, 15 000-30 000 руб. – организациям, а в лучшем случае все обойдется предупреждением.
  • Непредоставление лицу информации, касающейся обработки его персональных данных (п. 4 ст. 13.11 КоАП РФ). Порядок запроса такой информации прописан в статье 14 закона 152-ФЗ. Изменения с 01.07.2017 следующие: за нарушение полагается предупреждение, либо штраф 1000-2000 руб. – физлицам, 4000-6000 руб. - должностным лицам, 10 000-15 000 руб. – ИП, 20000-40000 руб. – организациям.
  • Невыполнение в установленные сроки требования о блокировании, изменении или уничтожении персональных данных (п. 5 ст. 13.11 КоАП РФ) . Физлицо или его представитель могут заявить такие требования, если данные неполные, неточные, получены с нарушением закона, либо устарели, это установлено статьей 21 закона о персональных данных № 152-ФЗ. Нарушителей ждет предупреждение, или штраф: 1000-2000 руб. физлицам, 4000-10 000 руб. должностным лицам, 10 000-20 000 руб. – ИП, 25 000-45 000 руб. организациям.
  • Несоблюдение условий, обеспечивающих сохранность персональных данных при неавтоматизированной обработке (п. 6 ст. 13.11 КоАП РФ). Это касается «бумажных» данных, несанкционированный доступ к которым стал причиной их уничтожения, повреждения, незаконного распространения и т.п. Не обеспеченная защита персональных данных в 2017 г. влечет штраф 700-2000 руб. для граждан, 4000-10 000 руб. для должностных лиц, 10 000-20 000 руб. для ИП и 25 000-50 000 руб. для организаций.

Таковы изменения в защите персональных данных 2017 г., заработавшие с 1 июля. Как видим, составы правонарушений стали более конкретными, а штрафы для операторов заметно ужесточились.

В очередной раз ужесточают ответственность за обработку персональных данных. С 1 июля 2017 года будет действовать новая редакция статьи 13.11 КоАП РФ. Список нарушений стал более детализированным, а размеры штрафов значительно выросли - до 75 тыс. руб. О том, как защититься от нарушений, читайте в статье.

Ответственность за нарушения по персональным данным

Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Законодатель с 1 июля вносит изменения в статью 13.11 КоАП (Федеральный закон от 7 февраля 2017 г. № 13-ФЗ).
  • для юридических лиц - от 5 тыс. до 10 тыс. руб.;
  • для должностных лиц - от 500 до 1 тыс. руб.
Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2017.

Вид нарушения

Размер штрафа

для юридических лиц

для должностных лиц

Обработка персональных данных в случаях, не предусмотренных законодательством, либо их обработка, несовместимая с целями сбора персональных данных*. От 30 тыс. до 50 тыс. руб. От 5 тыс. до 10 тыс. руб.
Обработка персональных данных без письменного согласия субъекта персональных данных на их обработку* От 15 тыс. до 75 тыс. руб. От 10 тыс. до 20 тыс. руб.
Обработка персональных данных с нарушением требований к составу сведений, отражаемых в письменном согласии субъекта персональных данных на их обработку От 15 тыс. до 75 тыс. руб. От 10 тыс. до 20 тыс. руб.
Нарушение оператором требований законодательства в области обработки, хранения и предоставления персональных данных От 15 тыс. до 50 тыс. руб. От 3 тыс. до 10 тыс. руб.

* Если не предусмотрена уголовная ответственность

Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров к Роскомнадзору. Срок давности для административной ответственности - три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Протокол об административном нарушении составляют сотрудники Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).

Трудовая инспекция также вправе наказать за нарушения правил работы с персональными данными, которые установлены в трудовом законодательстве (например, если бухгалтер использует сведения сотрудника в незаконных целях или их утерял). Наказание - штраф от 1000 до 5000 руб., за повторное нарушение - штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет (ч. 1, 2 ст. 5.27 КоАП РФ).

Срок давности для ответственности за персональные данные по трудовому законодательству - один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Кроме административной ответственности за нарушения в области обработки персональных данных могут привлечь к дисциплинарной, материальной и даже к уголовной ответственности.

Ситуации из практики: что изменится с 1 июля

Пример 1. Должностное лицо без согласия человека разгласил зарплату, премию, вознаграждение по договору, передал данные должников в юридическую фирму, чтобы составить исковые заявления или разместил копию заявления человека в качестве образца на стенде с образцами других заявлений. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как разглашение персональных данных без письменного согласия от человека или по письменному согласию, которое оформлено с нарушениями и выдадут постановление об административном правонарушении и назначат штраф: на учреждение - от 15 000 до 75 000 руб., на должностное лицо - от 10 000 до 20 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Пример 2. Бухгалтер не предоставил сотруднику расчетный листок, справку, сведения о страховом стаже и другие документы, в которых есть персонифицированные сведения о человеке. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как сокрытие от человека его персональных данных и назначат штраф: на учреждение - от 20 000 до 40 000 руб., на бухгалтера - от 4000 до 6000 руб. (ч. 4 ст. 13.11 КоАП РФ).

Пример 3. Должностное лицо отказался принять к обработке новые паспортные данные человека, банковские реквизиты или другую изменяющую информацию - за такое нарушение инспекторы могут назначить штраф на учреждение - от 25 000 до 45 000 руб, а на должностное лицо - от 4000 до 10 000 руб.

Пример 4. Должностное лицо небрежно работает с документами, персональные сведения о сотруднике стали известны другим лицам из-за того, что он оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными или потерял эти документы. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как невыполнение требования человека уточнить, блокировать или уничтожить его персональные данные и назначат штраф: на учреждение - от 25 000 до 50 000 руб., а на бухгалтера - от 4000 до 10 000 руб. (ч. 6 ст. 13.11 КоАП РФ).

Пример 5. Должностное лицо передает имена, адреса, телефоны и другие данные сотрудников организациям, действующим в рекламных целях коллекторским агентствам или другим третьим лицам. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как обработку персональных данных, когда это не предусмотрено законами и не соответствуют целям сбора персональных данных и назначат штраф на учреждение - от 30 000 до 50 000 руб., а на бухгалтера - от 5000 до 10 000 руб. (ч. 1 ст. 13.11 КоАП РФ).

О других видах ответственности

К дисциплинарной ответственности руководитель учреждения может привлечь работника за нарушения, которые обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). За дисциплинарный проступок руководитель может наказать работника, сделать замечание, объявить выговор и даже уволить (ч.1 ст. 192 ТК РФ).

Материальная ответственность работника может наступить, если его нарушение привело к ущербу для учреждения (ст. 238 ТК РФ). К примеру, ответственный работник за обработку персональных данных распространил персональные данные сотрудников в сети Интернет, а те в свою очередь подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию - 50 000 рублей каждому». В таком случае руководитель может привлечь как к ограниченной так и к полной материальной ответственности.

Самый страшный вид ответственности - это уголовная. Она может наступить за незаконные действия:

  • сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

Как защитить персональные данные

Для защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать?

Этот вопрос решает каждый работодатель самостоятельно. Чиновниками утверждены меры по обеспечению безопасности персональных данных при их обработке (статья 19 Закона от 27 июля 2006 г. № 152-ФЗ и требованиях, установленных постановлением Правительства РФ от 1 ноября 2012 г. № 1119). Злоумышленники могут уничтожить, изменить, заблокировать, скопировать информацию, предоставить ее третьим лицам. Иногда несанкционированный доступ случайно получают люди, у которых нет дурных намерений. Но угрозу безопасности персональных данных это не исключает.

Примите меры, чтобы предотвратить несанкционированный доступ к персональным сведениям в базе данных.

1. Ограничьте доступ сотрудников к компьютерам.

2. Введите систему индивидуальных паролей. Их нужно периодически менять.

3. Храните диски и другие носители информации в запирающихся шкафах.

4. Закрепите процедуру защиты информации в положении.

Положение об обработке персональных данных

Работодатель может получить все персональные данные сотрудника только от него самого. Учреждение не имеет права собирать информацию, которая не относится напрямую к работе персонала. Поэтому руководитель не должен заставлять сотрудников раскрывать сведения об их вероисповедании, политических пристрастиях, жилищных условиях и т. п. Все это относится к личной или семейной тайне гражданина (п. 4 ч. 1 ст. 86 ТК РФ, ст. 10 от 27 июля 2006 г. Закона № 152-ФЗ).

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия сотрудника (ст. 7 от 27 июля 2006 г. закона № 152-ФЗ). Чтобы не допустить утечки информации, создайте систему защиты. Порядок получения, обработки, передачи и хранения сведений установите в локальном акте, например в положении о работе с персональными данными сотрудников.

Положение утверждает руководитель учреждения. Ознакомьте сотрудников с положением под подпись (п. 8 ч. 1 ст. 86 ТК РФ). Руководитель определяет, кто будет отвечать за работу с персональными данными (ч. 5 ст. 88 ТК РФ). На практике такую работу поручают работникам отдела кадров, а в бухгалтерии - бухгалтеру по начислению зарплаты, так как они чаще всего имеют дело с персональными данными сотрудников.

Обработка данных без согласия сотрудника

Иногда обрабатывать персональные данные сотрудника можно без его согласия. Например, в случаях, прямо предусмотренных коллективным договором, а также локальными актами учреждения (разъяснения Роскомнадзора от 14 декабря 2012 г.).

Также не нужно получать согласие человека на обработку персональных данных в случаях, когда такая обработка предусмотрена законодательством. К таким случаям относится передача сведений в следующие органы:

  • Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 № 27-ФЗ);
  • налоговую инспекцию (ст. 24 НК РФ);
  • военные комиссариаты (ст. 4 Закона от 28 марта 1998 № 53-ФЗ);
  • иные органы (например, суды, прокуратуру, трудовую инспекцию и т. п.).
Кроме того, не требуйте согласия сотрудника для передачи персональных данных банку при открытии и обслуживании платежной карты для начисления зарплаты:
  • если договор на выпуск банковской карты заключен напрямую с сотрудником, а в договоре предусмотрена передача персональных данных работника банку;
  • если организация оформила доверенность на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
  • если соответствующая форма и система оплаты труда прописана в коллективном договоре учреждения (абзаце 10 пункта 4 разъяснений Роскомнадзора от 14 декабря 2012 г.).

Уже слышали, что Яндекс ужесточил санкции за кликджекинг – сайты, которые используют технологии, похищающие личные данные посетителей, существенно понижаются в выдаче.

Cайты, которые используют технологии, похищающие личные данные посетителей, существенно понижаются в выдаче. С 01.07.2017 сильнее карать за подобные махинации будет и законодательство: штрафы за несоблюдение закона о персональных данных будут увеличены до 75 000 рублей. Изменения коснутся интернет-ресурсов, собирающих, обрабатывающих и хранящих персональные данные любого рода.

Штрафы теперь не только увеличены во много раз, но и подразделяются по видам нарушений. Если, допустим, на сайте не изложена политика конфиденциальности, то индивидуального предпринимателю могут наложить штраф на 10 000 р., а компании - на 30 000 р. В случае, если подвергаются обработке персональные данные заказчика интернет-магазина или подписчика на информационный ресурс, а своего согласия на это они не давали – сумма штрафа для юридического лица приближается к 75 000 р., для директоров предприятий или предпринимателей – до 20 000. Разумеется, число взысканий будет равняться количеству допущенных нарушений.

Всем владельцам сайтов необходимо в кратчайшие сроки приводить их в порядок. Проверки уже начались!

В настоящее время лишь прокуратура имеет право выписывать протоколы о правонарушениях в указанной сфере, никакого различия для видов нарушений не делается, а сама сумма невелика: для ИП или директора она составит 1 000 р. максимум, для юридического лица - 10 000 р. Кроме того, сама процедура связана с большими временными затратами, а значит проверяют далеко не всех и крайне редко. Однако с 1 июля всё изменится: составлять протоколы уполномочен будет Роскомнадзор, а значит, на судебные проволочки рассчитывать больше не приходится.

Теперь - краткие ответы на самые популярные вопросы, которые могут возникнуть у владельцев сайтов и других интернет-ресурсов.

А кто вообще является оператором персональных данных?

Под такими данными понимаются любые сведения о человеке, которые можно использовать для его идентификации. Законодательством круг этих данных четко не очерчен, так что надо догадываться самостоятельно, исходя из логики. Допустим, по одному имени или никнейму невозможно понять, кто конкретно имеется в виду, а вот по имени и телефонному номеру (или имени и e-mail) - вполне возможно.

Итак, вероятнее всего, вы можете быть признаны оператором персональных данных, если любым способом получаете, подвергаете обработке и храните сведения о людях, сходные с перечисленными ниже (сочетания могут быть любыми):

  • Любой физический адрес;
  • E-mail;
  • Телефонный номер;
  • Сведения о дате и/ или месте рождения;
  • Личное фото;
  • Адрес персонального сайта или ссылку на страницу в любой из соцсетей;
  • Данные о профессии или роде занятий;
  • Сведения об образовании, доходах и т.д.

Следовательно, все люди, владеющие интернет-ресурсами, где имеются личные кабинеты, любые формы обратной связи, возможность подписаться или зарегистрироваться, совершить покупку, разместить объявление или заполнить какую-либо анкету - это всё операторы персональных данных. Даже в том случае, когда на ресурсе присутствует одна лишь кнопка, нажатием на которую можно заказать обратный звонок или отправить сообщение - это всё равно будет признано обработкой персональных данных.

В случае если я записал номер приятеля или e-mail девушки на сайте знакомств, я тоже нарушил закон?

Информацию для собственных нужд можно сохранять сколько угодно. Правонарушением будет, если вы вышлете номер приятеля в коллекторскую фирму, а e-meil девушки вместе с её фото опубликуете на сайте по предложению интимных услуг.

Я не хочу нарушать закон! Скажите, как грамотно работать с личными данными пользователей ресурса?

Для этого необходимо:

  • Получить согласие в письменном виде у всех ваших посетителей в том случае, если ему необходимо передать вам какую-либо информацию о себе;
  • Вы можете запрашивать только данные, необходимые для определенной цели. К примеру, просить физический адрес или номер паспорта для новостийной рассылки - подозрительно;
  • Использовать полученные данные строго для целей, перечисленных в документах, и о которых пользователь предупрежден;
  • по первому требованию пользователя сообщить, какая информация о нем у вас хранится, с какой целью она используется и кому вы её передали (в том случае если такой факт имел место);
  • В случае поступления требования от пользователя - немедленно удалить данные, использующиеся для рассылок о скидках, акциях и т.д.;
  • защищать базы данных от взлома, не допускать утечек информации;
  • пройти регистрацию в Роскомнадзоре.

Что? Какая регистрация? Где?

В соответствии с законодательством операторы персональных данных обязаны поставить в известность Роскомнадзор. Сделать это необходимо до того, как данные начнут обрабатываться, а вообще – чем скорее, тем лучше. Роскомнадзор занесет сведения об операторе в сводный реестр и будет выдавать по запросу.

Уведомление подавать необязательно в следующих случаях:

  • обработке подвергаются только информация о сотрудниках;
  • информацию вы получили исключительно для осуществления конкретного договора с указанным лицом и никаким иным образом не будут использованы или переданы;
  • пользователь сам опубликовал свои данные в общем доступе;
  • в вашей базе хранится только ФИО заказчика.

Я являюсь владельцем сайта и получаю указанные данные от пользователей. Каковы мои действия?

А вы всё ещё ничего не предприняли? Значит, вы уже нарушаете действующее законодательство, и вам прямо сейчас могут выписать штраф. Даже в том случае, если ваш интернет-ресурс обслуживается сторонней web-студией, занимающейся продвижением сайтов , взыскание так или иначе будет выписано на организацию, название которой прописано на интернет-ресурсе.

Необходимо подготовить публичные документы, после чего на вашем ресурсе сделать их доступными во всех разделах. Либо изложите условия обработки пользовательских данных в оферте либо обыкновенном договоре.

На сайте обязательно должно присутствовать решение, ясно дающее понять, что пользователь разрешил обработку его данных: галочка в регистрационной форме, информирование о сборе данных при оформлении заказа и т.д. Будет лучше, если вы заверите веб-страницу в нотариальной конторе.

Главное правило: если вы сомневаетесь, надо или нет высылать в Роскомнадзор уведомление - лучше вышлите.

Да ладно, ерунда это! Кому надо штрафовать кого-то из-за отсутствия каких-то там оферт и форм регистрации?

Вынуждены расстроить: прецедентов уже достаточно. Прокуратура Тамбовской области выписала штраф фирмы, оказывающей юридические услуги, за обработку информации о пользователях без их на то согласия. Суд решение поддержал.

А астраханская прокуратура налагает штрафы на владельцев интернет-ресурсов за формы обратной связи по алфавиту.

Ну и стоит добавить, что за подобные нарушения могут не только вдобавок к штрафу взыскать компенсацию морального ущерба, но и дать вполне реальный тюремный срок.

Вывод для всех владельцев сайтов: пишем в Роскомнадзор и живём спокойно.



Просмотров

Маринованная свекла на зиму
Маринованная свекла на зиму
Лучшие рецепты заготовки на зиму калины красной Рецепты заготовки калины чудо ягоды здоровья
Лучшие рецепты заготовки на зиму калины красной Рецепты заготовки калины чудо ягоды здоровья
Свекла на зиму в банках — очень вкусные рецепты заготовок — маринованная и консервированная, заправка для борща, салат с морковью и по-корейски Свекла целая на зиму в банках
Свекла на зиму в банках — очень вкусные рецепты заготовок — маринованная и консервированная, заправка для борща, салат с морковью и по-корейски Свекла целая на зиму в банках
Что такое параплан Можно ли самостоятельно сшить параплан
Что такое параплан Можно ли самостоятельно сшить параплан
Однолетние георгины: выращивание из семян, когда сажать Когда высаживать в грунт однолетние георгины
Однолетние георгины: выращивание из семян, когда сажать Когда высаживать в грунт однолетние георгины
Минусы и плюсы ваших домов – личный опыт
Минусы и плюсы ваших домов – личный опыт